분석 정보/악성코드 분석 정보396 [악성코드 분석] CDSpace 업데이트 서버를 통해 유포된 악성코드 CDSpace 업데이트 서버를 통해 유포된 악성코드 1. 개요 금융 기관을 사칭한 가짜 웹 사이트로 사용자의 접속을 유도하여 계좌번호, 비밀번호, 보안카드와 같은 금융 정보를 빼앗아 악용하는 파밍(Pharming)은 과거 hosts 파일을 직접 변조하는 방식이 대다수였다. 이에따라 파밍을 막기위해 hosts 파일을 보호하는 제품이 계속해서 출시됐고, 공격자들은 최근 이를 우회하기 위해 프록시 자동 구성(Proxy auto-config, PAC) 스크립트를 이용한 파밍 악성코드를 사용하고 있다. PAC는 hosts 파일을 변조하지 않고 스크립트를 작성하여 특정 URL을 자동으로 다른 웹 서버에 연결 시켜줄 수 있다. 본 보고서는 2016년 9월 10일 시디 스페이스(CDSpace) 프로그램의 업데이트 서버.. 2016. 10. 18. [악성코드 분석] 백도어 악성코드 분석 보고서 백도어 악성코드 분석 1. 개요 백도어(Backdoor)의 본래 의미는 시스템 개발이나 유지 보수를 편리하게 수행하기 위해, 시스템 인증과정 없이 원격 접속을 보장하여 운영체제나 프로그램 등에 접근할 수 있도록 만든 통로였다. 하지만, 최근에는 사용자 모르게 시스템에 무단으로 접근하고, 추가적인 악성코드를 설치하거나 개인 정보를 수집하는 악성코드 종류를 뜻하는 경우가 많아졌다. 본 보고서에서는 백도어 형태의 악성코드를 분석하여 백도어의 일반적인 기능과 동작 방식 등을 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 1.exe 파일크기 135,185 byte 진단명 Backdoor/W32.Farfli.135185 악성동작 백도어 네트워크 http://www.h*****r.com - 유포지 .. 2016. 9. 28. [악성코드 분석] 사용자 자원을 무단으로 이용하는 가상 화폐 채굴 악성코드 사용자 자원을 무단으로 이용하는 가상 화폐 채굴 악성코드 1. 개요 비트코인과 같이 가상 화폐의 이용이 많아짐에 따라 가상 화폐 채굴 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 가상 화폐 채굴 동작은 과도한 연산이 필요하기에 채굴 전용 GPU, 주문형 반도체(ASIC) 등을 동원해도 수익을 내기 어렵다. 이 때문에 해커들은 적은 비용으로 많은 가상 화폐를 채굴하기 위해, 소유자의 동의 없이 불특정 다수의 자원을 무단으로 이용하는 악성코드를 사용하고 있다. 본 보고서에서 다루게 될 Photo.scr 또한 가상 화폐의 한 종류인 모네로 코인(Monero Coin)을 채굴하여 사용자 모르게 해커의 가상 화폐 지갑에 전송하는 프로그램을 설치 및 실행시킨다. 게다가 이 악성코드는 취약한 웹 서버들을 자동.. 2016. 8. 19. [악성코드 분석] 인터넷 쇼핑몰 I사 해킹에 사용된 악성코드 상세 분석 인터넷 쇼핑몰 I사 해킹에 사용된 악성코드 상세 분석 1. 개요 최근 국내 대형 인터넷 쇼핑몰 I사가 지능형 지속가능 위협(APT) 공격을 받아 회원 1030만명의 개인 정보가 유출되었다. 본 보고서에선 당시 APT 공격에 사용된 것으로 추정되는 악성 파일 ‘우리가족.abcd.scr’을 분석하고자 한다. 해당 악성코드는 정상적인 화면 보호기 파일로 위장하기 위해 확장자 scr(Screensaver)을 사용하며, 실제 화면 보호기처럼 동작하기도 한다. 또한 문서, 미디어, 프로세스 정보를 공격자에게 전송하는 등 PC 정보 수집이 목적인 것으로 보인다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 우리가족.abcd.scr 파일크기 9,097,216 byte 진단명 Trojan-Dropper/W32... 2016. 8. 4. [악성코드 분석] 기업 홈페이지명을 사칭한 백도어 악성코드 기업 홈페이지명을 사칭한 백도어 악성코드 분석 보고서 1. 개요 뒷문이란 의미의 백도어(Backdoor)는 원래는 시스템의 유지 보수나 유사 시 문제 해결을 위해 관리자 보안 설정을 우회하여 시스템에 접근할 수 있도록 하는 것을 뜻했다. 하지만 이 점을 악성코드가 이용하게 되면서 다른 사용자의 보안 설정을 우회하여 접근, 해킹하여 추가적 피해를 입히면서 백도어는 악성동작의 한 종류로 자리잡게 되었다. 이번 보고서에서는 백도어 악성코드에 대하여 알아보고자 한다. 이번에 분석한 악성코드는 국내 모 대기업의 해외 지사 홈페이지에서 유포된 것으로 추정되며, 신뢰있는 기업의 사이트명을 파일명으로 하여 사용자의 실행을 유도시키며 해킹까지 이어질 수 있다는 점에서 각별한 주의가 필요하다. 2. 분석 정보 2-1. 파.. 2016. 8. 1. [악성코드 분석] 북한이 사용한 악성 프로그램 ‘유령쥐’ (Gh0st RAT) 북한이 사용한 악성 프로그램 ‘유령쥐’ 1. 개요지난 6월 13일 경찰청 사이버안전국은 북한이 4차 핵실험 직후인 2월, 국내 대기업 전산망을 해킹했음을 발표하였다. 발표에 따르면 북한은 악성 프로그램 ‘유령쥐’를 이용해 13만여대의 컴퓨터를 감염시켰다고 한다. 이번 보고서에선 이 유령쥐를 자세하게 알아보고자 한다. 실행파일명은 zegost.exe로 통칭 Gh0st RAT의 변종으로 불리고 있다. 여기서 RAT은 Remote Access Tool 혹은 Remote Administrator Tool로 불리며 단어의 차이는 있으나 그 뜻은 원격 접속을 보장하는 도구로 같다. 유령쥐라는 명칭 또한 Gh0st RAT이라는 영문이름에서 비롯된 것으로 보인다. 2. 분석 정보2-1. 파일 정보구분내용파일명svchs.. 2016. 7. 1. 이전 1 ··· 30 31 32 33 34 35 36 ··· 66 다음
